가명정보의 안전한 처리와 합리적 이용을 위한 균형점 ― 데이터3법에 대한 헌법적 평가를 겸하여 ―
A Study on the Balancing Rational Use and Safe Processing of Pseudonymous Data — In Addition to the Constitutional Evaluation of 3 Acts Regarding to Data —
김송옥(중앙대학교 법학연구원)
49권 2호, 371~407쪽
초록
데이터3법의 개정으로 인해 가장 주목받는 동시에 가장 중요한 이슈는 가명정보의 개념 도입과 가명처리한 정보간의 결합, 이른바 데이터 결합에 관한 명시적 규정을 둔 점이라 할 것이다. 그동안 정부는 가이드라인을 통해 비식별조치를 거친 개인정보의 활용을 장려해 왔으나, 데이터3법의 개정을 통해 그동안 가이드라인의 효력문제와 더불어 가명정보 활용에 제약으로 여겨졌던 여러 불명확한 요소들을 제거하고 무엇보다 가명정보 처리에 대한 명확한 법적 근거를 확보했다는 점에서 그 의의를 찾을 수 있다. 그러나 데이터3법에 대하여 긍정적인 평가만이 존재하는 것은 아니다. 가명정보의 확실한 법적 근거를 바라고 지지해왔던 산업계나 이를 반대하는 시민단체 모두 문제를 제기하고 있기 때문에, 무엇이 문제가 되고 이를 해결하기 위한 접점을 어디로 설정할 것인지 고찰할 필요가 있다. 또한 데이터3법을 비판하면서 그 근거로 해외입법례를 들고 있는데, 간혹 잘못된 소개로 오히려 혼란을 주는 경우도 있으므로 보다 정확한 소개와 분석을 요한다고 하겠다. 따라서 본고에서는 가명정보 및 데이터 결합과 관련하여 일본, 유럽연합, 우리나라의 법률을 비교함으로써 우리 데이터3법이 가명정보의 처리를 지나치게 제한하는 것은 아닌지, 정보주체의 권리들을 제대로 보장하고 있는지, 궁극적으로 데이터3법이 추구해야 할 보호와 이용간의 조화를 달성하고 있는지에 대하여 구체적으로 살펴보았다. 비교법적으로 보면, 우리나라만이 정보주체의 동의 없이 처리할 수 있는 가명정보의 처리 목적을 통계작성, 과학적 연구, 공익적 기록보존의 3가지로 제한하고 있으며, 또한 우리나라만이 데이터 결합을 정부가 지정한 결합전문기관을 통하도록 하고 있다. 그러면서도 정보주체의 권리들과 정보처리자의 의무들을 한 줄의 조항으로 배제 또는 면제하는 유래 없는 보호체계를 채택하고 있다. 이러한 점들은 또한 어떠한 헌법적 평가를 받을 수 있는지, 즉 정보주체의 동의와 개인정보자기결정권의 관계, 형벌법규의 명확성의 원칙, 입법권위임의 법리, 법률간 정합성의 문제 등 다양한 차원에서 접근해보았다.
Abstract
As a result of the revision of 3 Acts regarding to Data, the most notable and important issue is the introduction of the concept of pseudonymous data and the combination of pseudonymous data(also known as data combinations). Before the revision, the government had encouraged the use of personal information through non-identification measures through Guidelines, but this revision can be meaningful in that it has eliminated various unclear factors that have been considered obstacles on the use of pseudonymous data under Guidelines and secured clear legal grounds for processing pseudonymous data. However, there is not only a positive assessment of 3 Acts regarding to Data. As the industry, which had hoped for and supported a clear legal basis for processing pseudonymous data, and civic groups against it are pointing out the problems at the same time, it is necessary to consider what is the problem and how to resolve it. In addition, more accurate introduction and analysis are needed as there are cases where criticism of 3 Acts regarding to Data is often made based on misintroduced laws in other countries. Therefore, this paper contains a specific assessment of whether our 3 Acts regarding to Data excessively restricts the processing of pseudonymous data, whether it properly guarantees the rights of data subjects, and ultimately whether 3 Acts regarding to Data achieves a harmony between protection and use that should be pursued, by comparing the laws of Japan, the European Union, and Korea. According to comparative analysis, Korea is the only country that limits the purpose of processing pseudonymous data to 3: statistical purposes, scientific research purposes and archiving purposes in the public interest. Also, only Korea is required to conduct data combination through a specialized institution designated by the Protection Commission or the head of the related central administrative agency. However, the rights of data subjects and the obligations of data controllers are excluded or exempted through a single line provision. Thus, this paper makes various assessments of these problems on the constitutional levels, especially establishing the relationship between the consent of data subject and Right to the Protection of Personal Data and applying the rule of law.
- 발행기관:
- 한국공법학회
- 분류:
- 법학